Tenableの研究者は2021年6月27日(米国時間)、「CVE-2020-3580: Proof of Concept Published for Cisco ASA Flaw Patched in October - Blog|Tenable」において、「Cisco ASA(Adaptive Security Appliance)」に存在する脆弱性「CVE-2020-3580」に関する概念実証コードが公開されたことに関連し、この脆弱性を利用した攻撃が確認されたとして警告を発した。CVE-2020-3580を悪用すると、攻撃者は対象システムのインタフェース内で任意のコードを実行し、機密情報にアクセスできるようになるという。

シスコシステムズは2020年10月21日に、CVE-2020-3580、CVE-2020-3581、CVE-2020-3582、CVE-2020-3583の4つの脆弱性に関するセキュリティアドバイザリと修正パッチをリリースしている。これらはいずれもCisco ASAおよびCisco FTD(Firepower Threat Defense)に存在するクロスサイトスクリプティング(XSS)脆弱性であり、悪用されると前述のようにインタフェース内で任意のコードを実行して機密情報にアクセスされるなどの被害を受ける危険性がある。

詳細はシスコによる下記セキュリティアドバイザリを参照のこと。

  • Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Interface Cross-Site Scripting Vulnerabilities - Cisco

    Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Interface Cross-Site Scripting Vulnerabilities - Cisco

2021年6月24日、セキュリティ企業のPositive Technologiesの研究者によって、Twitter上でCVE-2020-3580の概念実証コードが公開された。これによって、まだ修正パッチを適用していないシステムに対する攻撃が増加する懸念がある。Tenableによると、攻撃者が実際にこの脆弱性を悪用しているという報告も受け取っているという。

  • Positive TechnologiesによるCVE-2020-3580の概念実証コードのツイート

    Positive TechnologiesによるCVE-2020-3580の概念実証コードのツイート

Tenableは、該当するシステムを使用しており、まだCVE-2020-3580に対する修正パッチを適用していない場合は、早急にパッチを適用することを推奨している。